HTTP Strict Transport Security

转载 2012年01月31日 13:04:30

它的作用是,对某些站点,当用户在浏览器输入不带协议的网址的时候,自动识别协议为https,而不是http。

例如用户输入paypal.com,浏览器会自动访问https://paypal.com,而不是http://paypal.com。当然,即使你的浏览器不支持HSTS,paypal也会自动跳转到https。

那么如何让自己的站点支持HSTS呢?只要在自己的站点的HTTPS响应的HTTP头里,加上下面这行即可

Strict-Transport-Security: max-age=16070400; includeSubDomains

当浏览器看到这个HTTP头,则会把当前站点加入HSTS列表。max-age和includeSubDomains的作用你们懂的。

根据Chrome的说明,当前支持HSTS的有Chrome和Firefox(版本>=4),我并没有去测试。

另外,Chrome自带一个默认的HSTS列表,paypal.com、lastpass.com、market.android.com等网站都列在里面。当前(Chrome16)这个列表是硬编码在Chrome的源代码(http://src.chromium.org/viewvc/chrome/trunk/src/net/base/transport_security_state.cc?view=log)里的。将来可能会把这个列表类似safe-browsing那样让不同的浏览器共享。

如果你想把自己的站点添加进Chrome的这个列表里,可以电邮

其实,大部分对安全有要求的站点,都会在服务器端自动识别协议,强制跳转到https。对这些站点来说,HSTS的作用只是让你少了一次HTTP请求而已。而在某些情况下,由于Set-Cookie、浏览器版本以及安全设置的因素,导致这个HTTP会发送HTTPS下所设置的cookie,存在安全隐患。除此之外,HSTS似乎没什么作用了。

另外我看了一下,alipay是没有发送Strict-Transport-Security头的。而paypal和lastpass都发送了这个头。

如何配置使用 HTTP 严格传输安全(HSTS)

HTTP 严格传输安全(HSTS)是一种安全功能,web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯,而不是使用 HTTP。本文会说明如何在 Apache2、Nginx 和 Lighttpd...
  • owen5630
  • owen5630
  • 2015年10月25日 22:24
  • 3462

Apache VirtualHost配置

Apache VirtualHost配置 以lampp环境为例子,其他环境只是配置文件的路径不同。 先要在   lampp/etc/httpd.conf ( 这个是Apache 总的配...
  • csnewdn
  • csnewdn
  • 2017年01月12日 12:13
  • 588

(十三)RabbitMQ消息队列-VirtualHost与权限管理

VirtualHost像mysql有数据库的概念并且可以指定用户对库和表等操作的权限。那RabbitMQ呢?RabbitMQ也有类似的权限管理。在RabbitMQ中可以虚拟消息服务器VirtualHo...
  • Super_RD
  • Super_RD
  • 2017年05月05日 10:29
  • 5400

HSTS - HTTP Strict Transport Security

https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security HTTP Strict Transport Security...
  • u011537073
  • u011537073
  • 2016年09月30日 21:15
  • 425

Xcode 7 App Transport Security has blocked a cleartext HTTP 报错解决办法

Xcode 7 创建新项目用到 UIWebView 发送请求时,报下面的错: “App Transport Security has blocked a cleartext HTTP (http:/...
  • elisa1988
  • elisa1988
  • 2015年08月03日 18:54
  • 4422

深入剖解HSTS,启动HTTPS的强制机制

HSTS全称是HTTP Strict Transport Security,中文名HTTP严格传输安全,诞生于2012年,至今已有五年历史。它是一种Web安全策略机制(web security pol...
  • Trustauth
  • Trustauth
  • 2017年10月17日 09:30
  • 240

Apache VirtualHost 配置

概念 虚拟主机(Virtual Host) 是在同一台机器搭建属于不同域名或者基于不同 IP 的多个网站服务的技术. 可以为运行在同一物理机器上的各个网站指配不同的 IP 和端口, 也可...
  • yanwushu
  • yanwushu
  • 2014年08月03日 20:24
  • 15971

错误:App Transport Security has blocked a cleartext HTTP (http://) resource load since it is insec

App Transport Security has blocked a cleartext HTTP (http://) resource load since it is insecure. Te...
  • itianyi
  • itianyi
  • 2015年11月20日 09:59
  • 5922

IOS-关于App Transport Security相关说明及适配

iOS9中新增App Transport Security(简称ATS)特性, 主要使到原来请求的时候用到的HTTP,都转向TLS1.2协议进行传输。这也意味着所有的HTTP协议都强制使用了HTTPS...
  • Maxdong24
  • Maxdong24
  • 2016年12月13日 15:45
  • 2603

关于VirtualHost的匹配解释,无匹配的处理方式

从apache官方网得知,如果没有匹配的时候,会使用第一个VirtualHost,也就是default host至于查看host的解析,可以使用 httpd.exe -S 来查看如F:\web\apa...
  • qidizi
  • qidizi
  • 2013年03月28日 16:53
  • 2489
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:HTTP Strict Transport Security
举报原因:
原因补充:

(最多只允许输入30个字)